Artikel 9
Wesentlichkeitsschwellen für die Bestimmung schwerwiegender Vorfälle
(1) Die Wesentlichkeitsschwelle für das Kriterium „Kunden, finanzielle Gegenparteien und Transaktionen“ ist erreicht, wenn eine der folgenden Bedingungen erfüllt ist:
|
a) |
Die Zahl der betroffenen Kunden beläuft sich auf mehr als 10 % aller Kunden, die die betroffene Dienstleistung nutzen; |
|
b) |
die Zahl der betroffenen Kunden, die die betroffene Dienstleistung nutzen, liegt bei mehr als 100 000; |
|
c) |
die Zahl der betroffenen finanziellen Gegenparteien beläuft sich auf mehr als 30 % aller finanziellen Gegenparteien, die Tätigkeiten im Zusammenhang mit der Bereitstellung der betroffenen Dienstleistung ausüben; |
|
d) |
die Zahl der betroffenen Transaktionen beläuft sich auf mehr als 10 % der täglichen durchschnittlichen Zahl von Transaktionen, die das Finanzunternehmen im Zusammenhang mit der betroffenen Dienstleistung durchführt; |
|
e) |
der Wert der betroffenen Transaktionen beträgt mehr als 10 % des täglichen Durchschnittswerts der Transaktionen, die das Finanzunternehmen im Zusammenhang mit der betroffenen Dienstleistung durchführt; |
|
f) |
betroffen sind Kunden oder finanzielle Gegenparteien, die nach Artikel 1 Absatz 3 als relevant eingestuft wurden. |
Lässt sich die tatsächliche Anzahl der betroffenen Kunden oder finanziellen Gegenparteien oder die tatsächliche Anzahl oder der tatsächliche Wert der betroffenen Transaktionen nicht bestimmen, so schätzt das Finanzunternehmen diese Zahlen oder Werte auf der Grundlage verfügbarer Daten aus vergleichbaren Referenzzeiträumen.
(2) Die Wesentlichkeitsschwelle für das Kriterium „Reputationsschaden“ ist erreicht, wenn eine der in Artikel 2 Buchstaben a bis d genannten Bedingungen erfüllt ist.
(3) Die Wesentlichkeitsschwelle für das Kriterium „Dauer und Ausfallzeiten“ ist erreicht, wenn eine der folgenden Bedingungen erfüllt ist:
|
a) |
Der Vorfall dauert mehr als 24 Stunden; |
|
b) |
die Ausfallzeiten bei IKT-Diensten zur Unterstützung kritischer oder wichtiger Funktionen betragen mehr als zwei Stunden. |
(4) Die Wesentlichkeitsschwelle für das Kriterium „geografische Ausbreitung“ ist erreicht, wenn der Vorfall im Sinne von Artikel 4 Auswirkungen in zwei oder mehr Mitgliedstaaten hat.
(5) Die Wesentlichkeitsschwelle für das Kriterium „Verluste von Daten“ ist erreicht, wenn eine der folgenden Bedingungen erfüllt ist:
|
a) |
Eine in Artikel 5 genannte Auswirkung auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten hat negative Auswirkungen auf die Verwirklichung der Geschäftsziele des Finanzunternehmens oder auf dessen Fähigkeit, regulatorische Anforderungen zu erfüllen, oder wird solche negativen Auswirkungen haben; |
|
b) |
es findet ein nicht unter Buchstabe a fallender erfolgreicher böswilliger und unbefugter Zugriff auf Netzwerk- und Informationssysteme statt, sofern dieser Zugriff zu Verlusten von Daten führen kann. |
(6) Die Wesentlichkeitsschwelle für das Kriterium „wirtschaftliche Auswirkungen“ ist erreicht, wenn die Kosten und Verluste, die dem Finanzunternehmen durch den Vorfall entstanden sind, 100 000 EUR übersteigen oder wahrscheinlich übersteigen werden.